默认合规性规则
如果设备或工作资料不符合下列任何政策设置,默认情况下,Android Device Policy 会立即阻止用户使用设备或工作资料。
passwordPoliciesencryptionPolicykeyguardDisabledpermittedInputMethodspermittedAccessibilityServicesminApiLevel
如果设备或工作资料在 10 天后仍不符合政策规定,Android Device Policy 会将设备恢复出厂设置或删除工作资料。
| 立即 | 10 天后 | |
|---|---|---|
| 设备 | 禁止使用设备。请尽可能显示一条消息,指导你如何遵守政策设置。 | 将设备恢复出厂设置。恢复出厂设置保护数据不会保留。 |
| 工作资料 | 禁止使用工作资料。请尽可能显示一条消息,指导你如何遵守政策设置。 | 删除工作资料。 |
这些合规性强制执行规则会默认强制执行,但可以修改。如需了解如何修改以及设置其他合规性强制执行规则,请参阅下一部分。
设置自定义合规性规则
您可以使用 policyEnforcementRules 针对任何顶级违规问题设置自定义操作。policyEnforcementRules 中定义的设置会替换 Android Device Policy 的默认合规性规则。
每条规则都包含政策设置的名称 (settingName),并且必须指定设备或工作资料在被屏蔽 (blockAfterDays) 然后被擦除 (wipeAfterDays) 之前可以保持不合规的天数。
{
"policyEnforcementRules":[
{
"settingName":"alwaysOnVpnPackage",
"blockAction":{
"blockAfterDays":3
},
"wipeAction":{
"wipeAfterDays":10,
"preserveFrp":true
}
}
]
}
在上面的 policyEnforcementRules 示例中:
- 如果设备不符合
alwaysOnVpnPackage中的任何设置,设备将在 3 天后被禁止使用。 - 如果设备在 10 天内一直不符合
alwaysOnVpnPackage中的任何设置,系统会擦除该设备。不过,在这种情况下,系统会保留恢复出厂设置保护数据(preserveFrp为true)。
自定义合规性规则的最佳实践
blockAfterDays和wipeAfterDays应设置为不大于30。wipeAfterDays必须大于blockAfterDays。- 如需立即禁止使用设备或工作资料,请将
blockAfterDays设置为0。
接收违规通知
如果设备未能遵守任何政策设置(无论强制执行规则如何),就会生成一条违规详情通知,指示:
- 设备或工作资料不符合的政策设置。
- 设备或工作资料不符合该设置的原因。
要将企业配置为接收不合规详情通知,请执行以下操作:
- 创建或更新企业时,在
enabledNotificationTypes[]中包含STATUS_REPORT。 - 启用 pub/sub 通知。
迁移到 policyEnforcementRules
如果您在 2019 年 5 月 7 日之前启用了 Android Management API,Android Device Policy 将不会强制执行任何默认合规性规则。
如需更新政策,请使用 policyEnforcementRules 定义合规性逻辑。policyEnforcementRules 替换了 complianceRules(现已废弃)。但是,请不要从政策中移除 complianceRules。